《XX市大数据发展中心全链路数据安全建设项目需求说明.docx》由会员分享,可在线阅读,更多相关《XX市大数据发展中心全链路数据安全建设项目需求说明.docx(15页珍藏版)》请在课桌文档上搜索。
1、XX市大数据发展中心全链路数据安全建设项目需求说明一、项目背景目前,XX己经按照省大数据局的县级公共数据平台建设导则要求,开展一体化智能化公共数据平台建设。平台已经实现集数据归集、治理、共享与开放等功能,为XX数字化改革应用提供数据底座。当前,各地网络和数据安全的安全问题频出,为进一步提升一体化智能化公共数据平台数据安全风险控制和防御的能力,切实解决信息泄露风险和权限管控不规范等问题,亟需建设一套全链路数据安全平台,解决数据安全问题。本项目是依据XX省大数据发展管理局数据安全管理总体要求及县级公共数据平台建设导则文件的精神,结合本地实际情况,建设XX市一体化智能化公共数据平台数据安全体系。二、
2、建设内容(一)采购清单序号名称内容服务单位数量1日志采集及审计分析系统预处理系统日志采集与预处理日志采集与预处理套12态势感知驾驶舱态势感知驾驶舱态势感知驾驶舱套13数据安全技术服务体系数据采集安全防护服务数据分类分级技术服务10实例1数据存储安全防护服务数据结构体变更监测服务10实例1数据静态脱敏服务2T1权限访问控制服务(数据库10实例1准入)数据传输安全防护服务动态脱敏服务10实例1数据传输加密服务套1敏感数据发现服务10实例1数据水印服务10实例1数据处理安全防护服务身份认证与准入服务(数据库权限管理)10实例1异常行为监控服务10实例1数据通用安全防护服务日志采集与审计分析服务(40
3、主机ECS110实例1数据安全监测服务套1数据资产地图服务10实例14驻场运维服务日常系统运营服务、数据局安全运营周报输出、告警研判服务、安全告警处置服务、安全策略配置服务、数据分类分级运维服务、数据安全培训服务、区县制度完善服务、账号权限运维服务。人15评估服务数据安全评估服务次2(二)详细采购内容序号名称技术规范数量1、通过部署日志采集及审计分析系统预处理节点,对主机、1日志采集与预处理日志采集与预处理数据库、数据平台、堡垒机、vpn、安全设备等日志进行采集与适配。支持XX市一体化智能化公共数据平台全量日志采集与接入。2、对接XX市日志采集与审计分析系统,同步推送XX市一体化智能化公共数据
4、平台全量日志至XX市大数据安全分析平台。1套2数据采集安全防护服务数据分类分级技术服务1、支持基于元数据管理、数据评估定级、数据分类,支持对敏感数据项进行分类分级,支持在数据全生命周期各个环节发现敏感数据并对其数据安全等级打标。2、提供分类分级配置功能。3、分类分级自动标记。4、提供分类分级复核。5、开发能力共享接口,将标识结果同步给权限管控平台、安全监测平台、数据脱敏系统、敏感数据发现,作为不同安全管控策略的实施依据。6、符合数字化改革公共数据分类分级指南(DB33/T23512021)要求。7、数据分类分级支持对接现有RDS、ODPS数据库。支持与一体化平台和权限管控系统对接。分类分级结果
5、对外开放:支持通过接口推送分类分级结果到目录系统;支持分类分级结果对外提供给其它系统如脱敏系统,便于根据分级结果制订相应的安全策略。10实例3数据存储安全防护服务数据结构体变更监测服务1、支持XX市一体化智能化公共数据平台所有数据库的元数据、结构体、权限等信息管理。2、支持数据库结构体代码历史追溯,支持数据库结构体与历史记录做比对。支持设置针对数据库结构体非法变更的判断规则。3、支持设置结构体比对任务调度。根据不同数据源使用情况而配置比对任务调度频率。4、支持自动记录结构体变更事件及版本信息,包含版本号、记录时间、变更详情等内容,支持在系统中检索到某数据源、数据库及数据表的变更历史轨迹。5、支
6、持对接现有一体化智能化公共数据平台中RDS、ODPS等数据库类型。10实例4数据静态脱敏服务a、脱敏方式1、支持数据脱敏过程不落地,无需额外存储中间数据。2、支持源库到目标库脱敏(包含支持同库脱敏)、数据库到文件脱敏、文件到文件脱敏(包括FTP和SFTP方式)、文件到数据库脱敏。3、支持主流关系型数据库之间的异构脱敏、关系型数据库与大数据平台之间的异构脱敏。4、支持多种2T增量脱敏方式,包含但不限于通过时间戳、主键或自定义列的方式进行增量脱敏,支持日志增量模式。5、支持关系型数据库,文件类,大数据平台,数仓等多种数据源的增量脱敏。b、内置敏感对象1、系统内置的敏感对象包括但不限于:中文姓名、英
7、文姓名、姓名拼音、电话号码、邮箱、邮编、金额、日期、企业营业执照、组织机构代码证、银行卡号、军官证、港澳通行证、往来台湾通行证、护照、税务登记证、身份证、组织机构名称、地址、IP地址、社会统一信用代码、开户许可证、医疗机构登记号、医师资格证书、医师职业证书、证券代码、证券名称、基金名称、基金代码、车牌号码等。c、敏感数据扫描发现1、支持通过抽样的方式进行敏感数据发现,可自定义发现规则、抽样比例和匹配率。2、支持混合类型的敏感数据发现:一个字段多种敏感类型、一个数据单元内多种敏感类型。3、支持针对单个字段手动设置敏感类型。d、丰富的脱敏算法1、可自定义增加脱敏规则,提供常用脱敏算法(不少于5种)
8、Oe、脱敏规则灵活1、支持依赖脱敏,可根据依赖字段的值对数据进行不同类型的脱敏处理。2、支持计算脱敏,数据脱敏后保留计算关系,如数据的分组求和、依赖计算等。3、支持组合脱敏,选择多个敏感类型形成组合,组合内所有敏感类型都存在时才进行脱敏。4、支持自定义分段脱敏,可以通过配置位数,分隔符,指定位置,百分比位置,正则等分段方式,对所有敏感类型进行自定义分段脱敏。5、支持脱敏策略配置功能,组合多个敏感类型和对应的脱敏规则,形成脱敏策略。f、脱敏一致性1、支持数据脱敏后保持原有数据特征、关联性、一致性。g、数据脱敏范围可控1、系统自动检测源数据库DDL变动,自动同步变化的对象。2、支持表(包含分区表、
9、簇表、索引组织表、队列表、压缩表、嵌套表)、主键、外键、索引(包含分区索引、位图索引、函数索引、压缩索引)、约束、视图、同义词、序列、队歹hDBlink,自定义类型、存储过程、函数、触发器、包等数据库对象脱敏后在目标库中自动创建。3、支持在脱敏前对脱敏结果进行预览,确定脱敏效果。4、支持作业调度API,可通过APl对于作业进行启动和终止操作,可通过该APl查看作业当前的运行状态、处理的数据量、同步对象数量、处理进度、处理耗时等。5权限访问控制服务(数据库准入)a、身份认证与准入1、支持身份的多因素认证,至少应支持应用程序名、IP地址、主机名、操作系统账户、数据库用户、数字证书、身份敏感标签、日
10、期、时间、时间域、身份类别、有效时间、应用用户名、终端IP等因素的任意组合,系统根据多维身份管理策略,自动判别登录主体的合法性,如不符合设定的身份管理策略,登录失败。2、支持识别真实应用及SQL管理工具的MD5值,防止假冒应用及假冒SQL管理工具违规访问数据库Ob、访问控制功能1、具备敏感数据探测能力,自动发现SCHEMA、表中的敏感资产。10实例系统支持内置的敏感数据类型,至少包括:个人敏感信息:包括中文姓名、身份证、银行卡、医师资格证书、医师执业证书、护照、军官证、中国护照、港澳通行证、永久居住证等。2、针对敏感数据集合的访问,任何账户都需要通过授权才可以访问,对不具备访问权限的操作,明确
11、阻断拒绝,并提示。3、支持查询、修改、删除等操作的行数控制,避免数据大量泄漏。4、支持账户访问频次控制,避免一定时间内的高频次访问,避免数据流失。5至少支持OraCl.e、SQLserverInySq1、达梦、Postgresql数据库的误删除恢复6、采用基于WEB界面的工单管理模式,通过工作流的方式对敏感表格和敏感SQL访问授权,形成逐级审批机制。C、审计模块1、支持SQL命令(包括查询、新增、修改、删除等行为)的细粒度审计和分析,并详细记录管理用户的行为信息。2、提供一致性回溯分析、相同事件查看分析,可基于敏感SQL策略、SQL特征和风险等级设置为敏感SQL;并提供依赖于审计信息的即时报表
12、分析3、支持通过SYSLOG的方式进行日志外发,支持审计、告警等日志外发。4、安全告警支持基于任意组合订阅的模式,实现个性化告警订阅管理。告警方式至少包括:邮件、页面、短信。d、支持武汉达梦、南大通用、神舟通用、人大金仓、ORACLE、SQLSERVERDB2、OCeanBase、TIDB、MySQL、PostgreSQL、MongodbsHBaSe、redis、ODPSRDS等主流数据库、数据仓库、大数据平台、云数据库。6数据传输安全防护服务动态脱敏服务1、基于访问角色的脱敏访问策略。支持SQLPLUS、PLSQLDEV等SQL管理工具查询数据时的运维动态脱敏,根据用户的身份与访问的数据库对
13、象以及对应的脱敏规则,对不同授权的用户可返回真实数据、部分遮盖、全部遮盖以及其他脱敏算法得到的结果。2、基于敏感标签的脱敏访问策略。根据业10实例务系统身份敏感标签与访问的数据库对象以及对应的脱敏规则,对不同授权的用户可返回真实数据、部分遮盖、全部遮盖以及其他脱敏算法得到的结果。7数据传输加密服务a、数据传输加密支持TLS协议,依赖可靠的TCP传输层来传输和接收数据;支持国产加密算法(SM2、SM4)进行链路数据加密。b、日志监控与审计提供配置远程客户端和服务发布的可视化管理平台;可以随时中断可疑会话;系统支持审计内网资源服务使用流量情况OC、安全管理1、资源服务发布。支持内网资源以服务的形式
14、发布;支持对发布的服务生成唯一签名;支持服务端发布多个内网资源服务,每个服务可进行独立的认证、配置与管理;所有内网资源服务的IP、端口对客户端不暴露;针对代理内网资源服务,支持多种负载策略。2、远程接入管控。支持管理远程接入的客户端;支持配置认证多个客户端;支持同一客户端同时访问多个内网资源服务;支持代理接入。1套8敏感数据发现服务支持数据传输过程中发现是否存在未加策略处理的敏感数据;数据存储、处理、交换过程是否存在未加策略处理的敏感数据避免敏感数据明文暴露在管道或未保护的空间中,而导致敏感数据泄漏;通过利用各类敏感信息规则或数据分类分级系统获取敏感数据列表,通过自动10实例扫描发现的方式高效
15、、方便、全面地获取敏感信息,支持灵活的配置方式(包括字段信息匹配、数据信息匹配)来自动探测、识别数据库敏感信息字段。9数据水印服务a、水印数据分发1、支持源库到目标库水印(包含支持同库水印)、支持数据库到文件水印、文件到文件水印。2、支持建立不同周期的水印作业,作业可立即执行,执行一次(可制定启动时间、水印日期),周期性定时执行(按天执行、按周执行、按月执行),时间设置完毕,作业会在指定时间自动运行。b、水印源配置1、支持配置水印源以及对所配置的水印源进行管理。2、支持伪行、伪列、无痕水印三种水印方式,支持组合的方式进行水印。C、水印管理1、支持对源数据库、目标数据库进行管理。2、支持设置水印
16、,并对设置的水印进行管理。3、支持上传文件以及对上传的文件进行管理。d、水印溯源1、支持上传水印后的文件,对其进行溯源操作10实例10身份认证与准入服务(数据库权限管理)采用基于WEB界面的工单管理模式,通过工作流的方式对登录权限授权,形成逐级审批机制。10实例11数据处理安全防护服务异常行为监控服务a、行为分级。建立数据库、大数据平台、文件对象存储等资源操作的分类分级体系,为高危、中危、低危三种不同程度的操作提供危险等级配置。b、资产分级。根据资产的重要程度,对数据库、数据表、主机等设定重点监控目标,可根据用户实际情况进行调整配置。C、监控告警分析。支持结合各类数据,进行综合分析,判断异常行
17、为的风险等级,主要判断机制包括:1、专家经验,根据安全专家的历史经验,设定相关告警规则,当操作行为命中规则时进行告警2、行为基线,通过机器学习的方式,对于用户的历史行为进行基线构建,当用户操作行为偏离历史行为基线时进行告警。3、离群检测,当某一人员的操作行为与大部分用户不一致时,进行告警提醒。d、告警订阅。针对不同种类和危险程度的异常行为,系统告警信息的精准推送。e、审计模块。对于告警信息和原始时间进行保存,并可根据时间、用户等维度进行搜索审计。同时对操作人员在态势感知平台上的各类操作进行操作,可用于审计分析。10实例12数据通用安全防护服务日志采集与审计分析服务a、日志采集。日志采集与审计分
18、析支持各类数据库、大数据平台、主机的全量日志采集存储能力,同时应实现各类运维工具、项目采购人各类应用的全量操作日志采集及集中展现功能。采用分布式数据采集的方式,支持集群Agent部署收集,包括在线实时采集和离线导入等多种方式。数据源包括日志类数据,如服务器日志、数据库日志、安全设备日志、网络设备日志、堡垒机日志、开放FTP/SFTP下载服务的应用系统的日志文件等;支持SySIOg、kafka、HTTP、数据库等方式的日志接收。(40主机)ECS10实例b、日志分析1 .日志采集与适配支持采集多种类型的日志,能够覆盖主机、数据库、大数据平台、堡垒机、VPN、安全设备等日志;支持多种采集方式,包含
19、但不限于SySIOg、KafkaxAPl接口、FTP等方式;支持采集多种日志内容,包含但不限于账号信息、登录信息、违规信息、访问日志、操作日志、任务日志等;支持多种采集项,包含但不限于用户名、登录时间、登录来源IP、操作时间、主机名、操作系统目录、操作指令等。2 .日志处理与解析支持日志解析和归一化处理;支持采集数据库Sql操作日志,并支持对执行指令进行解析,分析内容需要涵盖命令、操作、表名等。3.日志审计与分析支持各类指标的相关原始日志数据的查询功能;支持日志采集总量、日志采集趋势等分析视图;支持主机、数据库、大数据平台、堡垒机、VPN等分类日志分析视图。13数据安全监测服务a、威胁感知与分
20、析1 .主机威胁感知,通过收集主机上的操作日志、安全日志等内容进行分析,包含监控WindoWs、LinUx、CenIoS等平台的系统主机,监控要素包括主机数量、活跃情况、指令次数、密码错误次数、敏感指令次数、主机登录和远程SSH连接。2 .账号威胁感知异常登录,对于帐号的异常登录行为、疑似帐号破解行为、口令强度、多人共享帐号的行为、长时间没有人使用的帐号、沉默账号重新操作、再次使用离职帐号的行为进行监测和分析。3 .用户行为威胁感知展示用户最近活跃时间统计功能,用户执行高危操作指令进行分析。从操作时间、来源、目标、频率等维度上对用户操作进行分析,确认是否偏离正常操作范围。4 .数据库威胁感知数
21、据库监控要素包括主机情况、账号、实例、操作类型,支持各要素的执行排名和操作趋势展现,支持语句下钻,查看语句详情。数据库结构变化分析,对数据库表结构的变化情况进行分析,当表结构发生变化时进行提示。对从数据库中进行批量数据导出、备份行为进行监测。b、安全告警对数据生命周期各环节进行深度分析和风险挖掘,能够及时发现数据库导出、敏感数据查询、异常行为监控、高危操作、异常登录、暴力破解、账号滥用、非授信IP地址操作、弱口令、批量数据转存、异地用户访问、其他安全设备异常事件告警等可落地且能够覆盖数据全生命周期多类安全威胁场景,同时,第一时间将告警事件(按需)发送至X政钉。c、操作回放支持对各类违规行为、高
22、风险行为进行报警,可按时间轴滑动用户轨迹,展示中高危操作事件。d、智能报告1.数据库操作分析解析数据库操作日志,通过多种维度对SQL语句的平均响应时长/执行时长进行统计分析,支持单次SQL语句的操作指令解析,实现响应趋势和账号执行时长排序、SQL指令平均执行时长/响应时长排序和数据库SQL语句执行类型统计图等视图展示。2.数据抽取量分布图抽取各类操作日志,多种维度对数据抽取量进行统计分析,提供用户1套访问数据库的趋势分布图,提供日志采集、数据库对接、账号使用、主机对接等数量统计视图,提供搜索结果、检索主机、检索表、账号检索等数量趋势和排序视图。3 .敏感数据统计分析对接敏感数据分类分级系统,获
23、取敏感数据级别,展示敏感数据库、敏感数据表、敏感字段、数据类别等数量统计视图O4 .数据访问情况分析监控敏感数据库、敏感数据表的查询情况,并以用户维度分析敏感数据的访问情况,提供用户访问敏感数据量、活跃用户数、敏感数据访问热度等视图。5 .主机威胁感知支持收集主机上的操作日志、安全日志等内容进行分析,实现对主机威胁感知,实现监控WindOWs、LinUx、CentOS龙蜥等平台的系统主机,监控要素包括主机数量、活跃情况、指令次数、密码错误次数、敏感指令次数、主机登录和远程SSH连接;对用户操作行为建立行为基线,对于偏离基线的行为进行告警,包括操作时间、频率、指令类型等;对可带来严重损害的高危操
24、作进行分析,例如主动公网连接、特权指令执行等。6 .帐号体系威胁感知支持对于账号的异常登录行为进行分析,包括登录时间异常、登录地点异常;支持对疑似帐号破解行为进行分析;对于能够监测到登录过程的系统,支持口令强度分析,对弱口令进行提示告警;支持对多人共享帐号的行为进行分析;支持对长时间没有人使用的帐号进行监测;对沉默帐号重新操作的行为进行监测;对再次使用离职帐号的行为进行监测。7 .用户行为威胁感知支持用户最近活跃时间统计功能,用户执行高危操作指令进行分析;支持从操作时间、来源、目标、频率等维度上对用户操作进行分析,确认是否偏离正常操作范围。8 .数据库威胁感知数据库监控要素包括主机情况、账号、
25、实例、操作类型,支持各要素的执行排名和操作趋势展现,可查看语句详情;支持对数据库资产本身的操作,即指令操作,如DDL、DML等操作,系统将指令操作与语句操作分开汇总与统计;对于帐号执行高危操作进行分析,例如数据库中清库等操作;数据库结构变化分析,对数据库表结构的变化情况进行分析,当表结构发生变化时进行提示;支持对从数据库中进行批量数据导出、备份行为进行监测。9 .安全告警支持对平台监控到的各类异常告警信息同时通过X政钉推送给数据安全运维人员,数据安全相关人员对异常告警信息进行及时跟踪与处置。10 .操作回放支持操作回放功能,在回放过程中对高危操作进行提示,能够快速筛选指定时间区间、账号的操作过
26、程。IL智能异常发现支持内网攻击发现告警,识别黑客入侵操作,及时风险预警提示;支持多因素系统风险评分评级模型,量化系统风险,便于及时定位高风险点:支持至少30种数据泄露风险操作识别模型,定位风险操作,严防数据泄露;支持关联分析和行为分析的智能化引擎,用户可根据审计场景设置规则,针对行为分析,设置特征学习算法、学习周期,开展群组分析、个体分析等,自动发现。12.智能报告系统能够自动生成数据安全态势感知平台智能报告。根据各个系统的实际运行情况对系统的整体风险进行整体说明和打分,并对告警内容、各类威胁、异常行为等进行详尽分析,定制化选择审计报告的周期,可生成日报、周报、月报等形式,审计报告支持WOr
27、d、PDF格式导出。14数据资产地图服务为数据资产体系化、结构化提供管控视图,提供完整统一的视角,根据角色区分功能权限,支持构建数据资产知识库,展示数据资产的分布、存储和分级情况,总览数据资产全局O支持数据资产的实时统一展现、检索、监测和维护等全方位管理。a、数据资产概览系统概览模块展示资产注册、资产统计、资产分级等统计情况,将分类资产按照数据字典类别进行统计与展现、以topN方式展示最新/热门资产的排名、以趋势图方式展示最近一段时间资产变化趋势。b、数据地图以拓扑的方式呈现数据资产、来源及落地存储位置,更直观查看数据全景。C、数据血缘关系全面追踪数据处理过程,找到某个数据对象为起点的所有相关
28、元数据对象以及这些元数据对象之间的关系。支持根据集成的数据库或视图,通过血缘追踪,获得结果数据的来源信息;更新数据时能够反映原始数据库的变化,查看数据在数据流中变化过程。d、系统管理提供用户管理、角色管理、系统参数配置等功能,可对系统用户进行增删改查操作。10实例15驻场运维服务日常系统运营服务、数据局安全运营周报输出、告警研判服务、安全告警处置服务、安全策略配置服务、数据分类分级运维服务、数据安全培训服务、区县制度完善服务、账号权限运维服务、安全重保(如国庆、春节、护网期间或其他重大纪念活动、会议等)服务。1人16数据安全评估服务依托数据安全能力成熟度评估模型和省级数据安全评估要求,周期提供
29、数据安全整体评估,评估完成提供总体评估报告,包括评估级别、总分、评估得分以及评估结果,并分别展示各级别的评估报告,根据各过程域得分以及情况描述,生成整改建议。2次17态势感知驾驶舱态势感知驾驶舱支持视图大屏展示功能,提供各主题分析视图/报表并且支持图表下钻功能,查询到详细日志信息,支持系统可以通过日志审计和图表钻取的方式对采集到的所有的日志进行原始数据查看,以地图方式展现访问情况,便于向管理层提供决策参考。1项18数据安全相关配件移动硬盘(带加密功能,支持NVME协议,容量2T以上)5只,U盘(带加密功能,容量64GB以上)10只,六类成品网线(不少于100根,每根网线长度3米以上)1批19*与XX大数据对接数据分类分级技术服务、数据结构体变更监测服务、敏感数据发现服务、异常行为监控服务、日志采集与审计分析服务、数据安全监测服务、数据资产地图服务需与XX市数据安全平台对接。-20*服务期以上采购的所有服务内容服务期均为2年,服务期内提供所有平台的免费升级服务。服务期从项目验收通过之日开始计算。-21其他产品符合信创要求。
